APT Kimsuky: con posibles conexiones con Corea del Norte

Durante varios meses, hemos estado haciendo un seguimiento de una operación de ciberespionaje contra importantes figuras de Corea del Sur. Hay muchas razones por las que esta campaña se considera extraordinaria en su ejecución y logística. Todo comenzó un día en que encontramos un programa espía poco complejo que se comunicaba con su "dueño" mediante un servidor público de correos electrónicos. Esto es algo que los escritores de virus amateur suelen hacer.

Hay indicaciones de que los ordenadores de los "Seguidores de la unificación coreana" (http://www.unihope.kr/) también están comprometidos. Entre otras organizaciones que también tomamos en cuenta, 11 se encuentran en Corea del Sur y dos en China.

Muchos programas maliciosos de menor importancia participan de esta operación, pero cada uno implementa una única función espía. Encontramos bibliotecas básicas que son las responsables de la comunicación común con el jefe de campaña y módulos adicionales que realizan las siguientes funciones:

• Registro de las teclas pulsadas
• Recolección de los listados del directorio
• Robo de documentos HWP
• Descarga y ejecución de controles remotos
• Acceso a distancia

Las pistas que encontramos nos permiten suponer que los ataques se originan en Corea del Norte. Puedes encontrar el informe detallado de la operación en nuestro artículo La Operación ‘Kimsuky’: una APT norcoreana?

Fuente: Viruslist